Seite 1 von 5 12345 LetzteLetzte
Ergebnis 1 bis 25 von 107

Thema: SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

  1. #1

    SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

    Die SSL-Zertifizierungstelle Let's Encrypt, welche durch die gemeinnützige Organisation Internet Security Research Group (ISRG) und diversen Sponsoren wie Mozilla, EFF, oder Cisco ist Leben gerufen wurde steht kurz davor den offiziellen Betrieb aufzunehmen. Let's Encrypt will ab Mitte 2015 allen interessierten Serverbetreibern ein kostenloses, von den Browsern sofort akzeptiertes TLS-Zertifikat anbieten. Vor kurzem wurden die hierfür nötigen Wurzelzertifikate erstellt.

    Die Zertifikate der Nutzer werden über Zwischenstelle (Intermediate CA) ausgestellt, was der üblichen Praxis entspricht damit das Wurzelzertifikat offline bleiben kann. Die Zwischenzertifikate werden von Identrust (einem Dienstleister im Bankensektoren dessen Zertifikate in jedem gängigen Browser als vertrauenswürdig eingestuft werden) signiert. Somit sollte eine Seite die mit einem Zertifikat von Let's Encrypt versehen ist, ohne Eingreifen der Besucher mit https funktionieren. Let's Encrypt wird aber dennoch versuchen als das Wurzelzertifikat als vertrauenswürdig in den gängigen Browsern unterzubringen.

    Vorerst werden RSA-Schlüssel verwendet. Diese sollen aber von ECDSA abgelöst werden. Auf der Seite des Seitenbetreibers sollen unter Linux zwei Befehle ausreichen um das Zertifikat zu erstellen. Einmal die Installation des Pakets lets-encrypt und anschließend mit dem Befehl lets-encrypt example.com (example.com steht hier für die betreffende Domain für die das Zertifikat ausgestellt werden soll). Mehr soll nicht nötig sein. Den genauen Ablauf kann man unter https://letsencrypt.org/howitworks/ nachlesen.

    Quelle: Golem.de und Letsencrypt.org
    Security at the expense of usability comes at the expense of security

  2. #2
    Mitglied Avatar von phre4k
    Registriert seit
    Mar 2015
    Beiträge
    4.120
    ngb:news Artikel
    2

    Re: SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

    Die Idee fand ich cool, aber wie funktioniert das bspw. mit Jabber?

  3. #3
    404

    Veteran

    (Threadstarter)

    Avatar von mathmos
    Registriert seit
    Jul 2013
    Beiträge
    4.375
    ngb:news Artikel
    99

    Re: SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

    Auf die Schnelle habe ich nur http://mail.jabber.org/pipermail/mem...er/007954.html gefunden. Das ist allerdings schon einige Monate alt und definitiv nicht spruchreif.

    Ich denke mal man sollte das Angebot erst mal anlaufen lassen und abwarten. Aus dem Bauch heraus wird der Schwerpunkt erst einmal bei normalen Internetseiten liegen. Exotische Sachen wie Jabber haben da, zumindest anfangs, wohl eher weniger Priorität. Für die Masse wird das auch kein Dealbreaker sein.
    Security at the expense of usability comes at the expense of security

  4. #4
    SYS64738

    Moderator

    Avatar von thom53281
    Registriert seit
    Jul 2013
    Beiträge
    3.252
    ngb:news Artikel
    39

    Re: SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

    Finde die Sache ziemlich lobenswert, auch wenn es einen leichten Beigeschmack hat. Ich denke die folgenden Worte drücken es recht gut aus:
    However, the one catch is that you need to use their command program to get a free certificate. You have to run it on your your server as root, and it tries to edit your apache/nginx config files.

    I love the Let's Encrypt devs dearly, but there's no way I'm going to trust their script to run on my server as root and be able to edit my server configs. I'd just like the free ssl certificate, please.
    https://github.com/diafygi/letsencrypt-nosudo

  5. #5
    404

    Veteran

    (Threadstarter)

    Avatar von mathmos
    Registriert seit
    Jul 2013
    Beiträge
    4.375
    ngb:news Artikel
    99

    Re: SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

    Die Sourcen des Tools sind frei einsehbar (https://github.com/letsencrypt/lets-encrypt-preview). Nach dem Erstellen der Zertifikate kann man das Paket vermutlich ohne Nebenwirkungen entfernen. Dem Python-Script muss man ja auch vertrauen oder sich den Inhalt ansehen.

    Das Thema wird übrigens auch offiziell unter https://groups.google.com/a/letsencr...ev/JAqxSvXlln4 diskutiert.
    Security at the expense of usability comes at the expense of security

  6. #6
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    4.398
    ngb:news Artikel
    13

    Re: SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

    Jep freue mich auch sehr drauf - weil ich bisher irgendwie mit startssl nie glück hatte... irgendwie ging das Beantragen bei mir nie....
    Bisher nutze ich nur selbstsignierte
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  7. #7
    offizielles GEZ-Haustier Avatar von Pleitgengeier
    Registriert seit
    Jul 2013
    Ort
    127.0.0.1
    Beiträge
    4.382
    ngb:news Artikel
    3

    Re: SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

    Das ist absolut nicht mein Fachgebiet, aber brachten nicht die Snowden-Leaks ans Licht dass SSL durch MITM extrem angreifbar ist?
    Besonders bezüglich Jabber sollte dann ja immer OTR bevorzugt werden...

    Oder wurde dieses Problem mittlerweile behoben?
    Ich wähle die Partei - sie ist sehr gut!

  8. #8
    N.A.C.J.A.C. Avatar von alter_Bekannter
    Registriert seit
    Jul 2013
    Ort
    Midgard
    Beiträge
    3.236

    Re: SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

    Ja, die bisherigen Anbieter kostenloser Signaturen sind alle "etwas eigen" wenns um die Bedienung geht in anderen Worten es war mir zu ätzend mich mit deren Scheiss zu beschäftigen.

    Vielleicht gibts ja bald eine praktikable kostenlose Lösung.
    Wichtig: Warum die Installation von Win XP ein Linuxproblem ist.
    Warum zum Teufel ist der praktikabelste Weg unter Windows ein USB Gerät zu partitionieren Gparted in einer VM zu starten?!

  9. #9
    Gehasst
    Registriert seit
    Apr 2015
    Ort
    AUF DEM MOND
    Beiträge
    1.642
    ngb:news Artikel
    1

    Re: SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

    Zitat Zitat von Pleitgengeier Beitrag anzeigen
    Das ist absolut nicht mein Fachgebiet, aber brachten nicht die Snowden-Leaks ans Licht dass SSL durch MITM extrem angreifbar ist?
    Besonders bezüglich Jabber sollte dann ja immer OTR bevorzugt werden...

    Oder wurde dieses Problem mittlerweile behoben?
    Daran wird sich auch in Zukunft nichts ändern. Die Zertifizierungen sind in Form einer Chain-of-trust aufgebaut und die Korruption von Zertifizierungsstellen stellt die Korruption eines Gliedes dar, das Design lässt es schlicht nicht zu, das Problem zu beheben.
    Für diesen Beitrag bedankt sich Pleitgengeier

  10. #10
    Mitglied Avatar von phre4k
    Registriert seit
    Mar 2015
    Beiträge
    4.120
    ngb:news Artikel
    2

    Re: SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

    OTR hat aber auch eine ganz andere Zielsetzung als SSL. Du verschlüsselst ja nicht den Inhalt, sondern den Transport.

  11. #11
    SYS64738

    Moderator

    Avatar von thom53281
    Registriert seit
    Jul 2013
    Beiträge
    3.252
    ngb:news Artikel
    39

    Re: SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

    Hier noch ein bisschen technischer Hintergrund zu dem Ganzen:
    http://www.cryptologie.net/article/2...rypt-overview/

  12. #12
    404

    Veteran

    (Threadstarter)

    Avatar von mathmos
    Registriert seit
    Jul 2013
    Beiträge
    4.375
    ngb:news Artikel
    99

    Re: SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

    Das "bald" ist nun bekannt. Ab dem 27.07.15 wird es einen Testlauf mit ausgewählten Domains geben. Ab dem 14.09.15 wird der Dienst dann für alle zugänglich sein.

    https://letsencrypt.org/2015/06/16/l...-schedule.html
    Security at the expense of usability comes at the expense of security

  13. #13
    404

    Veteran

    (Threadstarter)

    Avatar von mathmos
    Registriert seit
    Jul 2013
    Beiträge
    4.375
    ngb:news Artikel
    99

    Re: SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

    Die Betreiber benötigen noch etwas länger damit das ganze vernünftig läuft. Somit werden die ersten Domains ausgewählten Domains erst ab dem 07.09.15 mit Zertifikaten versorgt. Ab dem 16.11.15 soll das Angebot dann für alle offen sein.

    https://letsencrypt.org//2015/08/07/...-schedule.html
    Security at the expense of usability comes at the expense of security

  14. #14
    N.A.C.J.A.C. Avatar von alter_Bekannter
    Registriert seit
    Jul 2013
    Ort
    Midgard
    Beiträge
    3.236

    Re: SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

    Also in 3 Monaten, das sind immer noch sehr gute Nachrichten, naja, schlechte für Kleinkriminelle Phisher.
    Wichtig: Warum die Installation von Win XP ein Linuxproblem ist.
    Warum zum Teufel ist der praktikabelste Weg unter Windows ein USB Gerät zu partitionieren Gparted in einer VM zu starten?!

  15. #15
    auf eigenen Wunsch gesperrt
    Registriert seit
    Jul 2013
    Beiträge
    3.310
    ngb:news Artikel
    5

    Re: SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

    Besser später und richtig, als früher und halbgar, besonders, wenn es um solch einen kritischen Service geht.
    Für diesen Beitrag bedankt sich mathmos

  16. #16
    m4yos

    Re: SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

    das erste ISRG root cert kann man sich auf Hello World, Let's Encrypt jetzt einspielen. Und man ist sehr uffgeregt deswegen, versteht sich.

    https://letsencrypt.org/2015/09/14/our-first-cert.html

  17. #17
    N.A.C.J.A.C. Avatar von alter_Bekannter
    Registriert seit
    Jul 2013
    Ort
    Midgard
    Beiträge
    3.236

    Re: SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

    Wie bringt man Chromium eigentlich dazu selbst importierte Zertifikate zu akzeptieren?
    Wichtig: Warum die Installation von Win XP ein Linuxproblem ist.
    Warum zum Teufel ist der praktikabelste Weg unter Windows ein USB Gerät zu partitionieren Gparted in einer VM zu starten?!

  18. #18
    404

    Veteran

    (Threadstarter)

    Avatar von mathmos
    Registriert seit
    Jul 2013
    Beiträge
    4.375
    ngb:news Artikel
    99

    Re: SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

    Die weit verbreiteten Browser akzeptieren nun die Zertifikate von Let's Encrypt ohne manuelles Eingreifen.

    https://letsencrypt.org/2015/10/19/l...s-trusted.html
    Security at the expense of usability comes at the expense of security

  19. #19
    Mitglied Avatar von phre4k
    Registriert seit
    Mar 2015
    Beiträge
    4.120
    ngb:news Artikel
    2

    Re: SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

    Funktioniert das denn endlich ohne großen Aufwand mit nginx und Prosody?

  20. #20
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    4.398
    ngb:news Artikel
    13

    Re: SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

    Was hat die Akzeptanz eines ssl-zertifikats im Browser mit nginx zu tun?
    Davon abgesehen finde ich das Zertifikatshandlich bei nginx viel einfacher als z.B. bei apache - ist doch meist nur eine Zeile in der Config?
    Oder ich erstehe die Frage nicht

    Prosody hab ich noch nie probiert...
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  21. #21
    404

    Veteran

    (Threadstarter)

    Avatar von mathmos
    Registriert seit
    Jul 2013
    Beiträge
    4.375
    ngb:news Artikel
    99

    Re: SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

    Nginx bzw. das Plugin hierfür macht wohl Probleme (https://community.letsencrypt.org/t/...tificates/1439). Eventuell war das der Grund für phre4k's Frage.
    Für diesen Beitrag bedankt sich phre4k
    Security at the expense of usability comes at the expense of security

  22. #22
    Mitglied Avatar von phre4k
    Registriert seit
    Mar 2015
    Beiträge
    4.120
    ngb:news Artikel
    2

    Re: SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

    Das Ding ist eben, dass es nur eine automatisierte Möglichkeit gibt, das Cert zu bekommen (u.A. um Betrug zu vermeiden) und die Certs nur wenige Wochen Laufzeit haben (iirc).

    Im Moment wird anscheinend nur der Apache wirklich gut unterstützt. Das Projekt dann "let's encrypt" zu nennen, finde ich schon etwas großspurig. Vielleicht eher "let's encrypt Apache on Port 80" (letsencrypt-apacheonport80.website)?

  23. #23
    404

    Veteran

    (Threadstarter)

    Avatar von mathmos
    Registriert seit
    Jul 2013
    Beiträge
    4.375
    ngb:news Artikel
    99

    Re: SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

    Der Client hat meines Wissens nach einen manuellen Modus. Davon abgesehen ist der Client quelloffen so dass man nachvollziehen kann was er macht. Diese Schritte sollte man dann auch per Hand, einen nach den anderen abarbeiten können. Gültig sind die Zertifikate derzeit 90 Tage. Die Begründung kann man unter https://community.letsencrypt.org/t/...ifetimes/264/7 nachlesen. Ebenso, dass dieser Zeitraum nicht in Stein gemeiselt ist (hoffe selbst dass man hier flexibler vorgehen kann).

    Bei den Servern die z. B. Netcraft erfasst, kommt nginx im Oktober das erste mal über einen Anteil von 15 Prozent. Apache liegt bei 46 Prozent (http://news.netcraft.com/archives/20...er-survey.html). Lets's Encrypt hat sich zum Ziel gemacht, so viele Seiten wie möglich zu verschlüsseln. Von daher macht es meiner Meinung nach durchaus Sinn, wenn der Schwerpunkt erst einmal bei Apache liegt. Das nginx nicht links liegen gelassen wird, zeigen zudem auch die Commits. Letsencrypt-nginx wurde vor drei Tagen geändert. Letsencrypt-apache vor 7 Tagen (https://github.com/letsencrypt/letsencrypt).
    Für diesen Beitrag bedankt sich phre4k
    Security at the expense of usability comes at the expense of security

  24. #24

    Re: SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

    Zitat Zitat von drfuture Beitrag anzeigen
    Davon abgesehen finde ich das Zertifikatshandlich bei nginx viel einfacher als z.B. bei apache - ist doch meist nur eine Zeile in der Config?
    .
    Es ist definitiv einfacher bei Apache, da man auch noch ein Chainfile benötigt. Dann wären es die üblichen 2 Zeilen für eine Grundkonfiguration von nginx (key und cert) und mit ssl on noch eine mehr. Davon aber mal abgesehen ist eine Konfiguration von nginx pro Host mit Sicherheit mit mehr Aufwand verbunden, als beim Standard-Apache prefork.

    Wir schätzen die Menschen, die frisch und offen ihre Meinung sagen - vorausgesetzt, sie meinen dasselbe wie wir.
    Auf Picflash deine Bilder schnell und unkompliziert teilen. Anonym.

  25. #25
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    4.398
    ngb:news Artikel
    13

    Re: SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

    nu ja mein Problem lag eher darin das ich bisher davon ausgegangen bin das ich mein Zertifikat bei LetsEncrypt "normal" beantrage und einbinde... da das nicht ganz so läuft erklärt das auch das *Problem* mit anderen Webservern
    Da es noch nicht voll Lauffähig ist habe ich mir über die Art und Weise wie man es nutzt einfach noch keine genaueren Gedanken gemacht - wäre aber wohl besser gewesen... aber mal abwarten

    @Eraser evtl. auch Geschmacksache, ich fand die Apache-Config mit ewig langen Einstellungsorgien und vHost dateien extrem umständlich und unübersichtlich...
    Zumindest ich komme bei nginx nun mit sicher 1/10 der Zeilen aus und finde diese viel verständlicher und logischer aufgebaut.
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •